Vlákno názorů k článku
Poskytovatelé připojení budou od ledna muset blokovat stránky s nelegálními léčivy
od Merlin - Není problém, pojedeme normálně přes Tor nebo VPN...
-
Nejvíc vadí, že tak nějak člověk neví, co je blokováno. Ano, většinou si toho nevšimne, protože tam prostě neleze. A když už, tak je na to upozorněn (třeba když je v DNS RPZ od cesnetu). Jenže to platí pro ty hazardy. SÚKL klidně zablokuje pilulka.cz jen proto, že se jim v těch tisících položek vyskytlo něco podivného. A celá republika bude pak klidně týdny čekat, až se to SÚKL uráčí odblokovat a pak další čas, než se to projeví na DNS uvnitř ISP. Škody nedozírné a roky soudů pro pilulku.
-
Ono je to vůbec zajímavé. Už jsem to psal "vedle": v "mé sociální bublině" má možná jen každý pátý nastavenou jinou DNS než něco jako "8.8.8.8", "8.8.4.4", případně další "snadno pamatovatelná čísla". A mám pocit, že tam žádné blokování není.
A rozhodně to není proto, že by to byli všechno "ajťáci" - spíš jim to nastavil někdo "poučenější" při instalaci routeru. Poskytovatelům připojení se spíš nevěří - ani rychlost připojení, natož překlad jmen na adresy.
Mimochodem: těch s DNS od providera postupně ubývá - jakmile nastane "problém s připojením", nastupuje "poučený" kamarád, který obvykle jako první změní DNS. Čím více výpadků ISP vyrobí, tím více se odlehčí jejich DNS serverům. ;oD -
Filip JirsákStříbrný podporovatelNěkteří ISP ale dávali svým klientům 8.8.8.8 nebo něco podobného, takže teď jim nezbývá nic jiného, než provoz unášet a blokovat ty adresy i při dotazování těchto otevřených DNS resolverů.
-
Málo kdo ale používá pevné ip adresy - je s tím více práce. A tak to stačí změnit v DHCP. A pokud je někdo fakt malý, tak se může tvářit, že on na svém DNS serveru vše blokuje podle zákona, jen to ze "záhadných" důvodů nějak nefunguje spolehlivě. Případně uznat lidskou chybu v jednom ojedinělém případě a tam ji opravit.
Jde také o to, jestli to bude někdo kontrolovat. Já si spíše myslím, že je to jen taková opičárna, jako s cookies a GDPR.
-
Filip JirsákStříbrný podporovatel
Když máte na výběr nějakého wifináře s 20 Mbit/s nebo 50 Mbit/s a proti tomu nějaké ažDSL s 2 Mbit/s, tak u wifináře překousnete i to unášení DNS provozu. Že by se to dít nemělo si tu můžeme napsat kolikrát chceme, ale někde je holt realita jiná a není snadné to změnit.
-
Filip JirsákStříbrný podporovatel
Veřejné DNS resolvery od Googlu jsou samozřejmě spolehlivější i důvěryhodnější než jakýkoli DNS server provozovaný libovolným českým ISP.
To, že je někdo paranoidní a nedokáže reálně porovnat bezpečnost ani spolehlivost, z vás ještě nedělá odborníka.
-
Ona to není ani tak otázka odbornosti, ale spíš zkušenost s občasnými výpadky, například při nějakém tom menším DDoS útoku - většinou pomohlo nastavit si "Google" a, voila, ono to začalo zase fungovat.
Pochopitelně, že Google má také "slabé chvilky", ale to "není kam utéct", takže to tak obvykle zůstane. -
Filip JirsákStříbrný podporovatel
Jde tu o soukromí, kdy Google je schopen spojovat adresu uživatele s navštěvovanými adresami.
Jak? -
V případě DoH nebo DNS over TLS je stále navázaný šifrovaný tunel, kterým stačí poslat jeden unikátní request a hned jsou spárovány všechny předchozí i budoucí dotazy v rámci session. Ta session může trvat klidně celé dny, pokud je ten počítač zapnutý a prohlížeč spuštěn.
V případě čistého DNS jde jít po pevné veřejce klienta nebo třeba po bloku portů z CGNAT.
-
Filip JirsákStříbrný podporovatel
Vantomas: o DoH ani DoT nebyla řeč. Veřejná IP adresa klienta je hezká věc, ale ne každý ji má. Který CGNAT si komplikuje situaci tím, že by klientům přiřazoval bloky portů?
-
Filip JirsákStříbrný podporovatel
bez přezdívky: Stále platí, co jsem napsal. ISP má podstatně víc možností, než Google, jak DNS dotazy spárovat s konkrétním klientem. A ani k tomu nepotřebuje provozovat vlastní DNS server.
-
Filip JirsákStříbrný podporovatel
bez přezdívky: Google může sbírat celosvětově anonymní data, ale nic nenasvědčuje tomu, že by sbíral přes DNS data o konkrétních uživatelích. Bylo by to příliš pracné a nespolehlivé, přitom mnohem lepší data umí získat Google jinak.
To, že použijete DNS server vašeho ISP, neznamená, že se nakonec dotaz (pokud se nenajde v cache resolveru ISP) stejně nepošle na server Googlu.
Pokud nevěříte svému ISP, budete hlavně potřebovat DoH nebo DoT – když nastavíte jen jiný DNS server a použijete klasický DNS protokol, ISP stejně dotazy i odpovědi uvidí.
A navíc ISP uvidí i veškerou ostatní komunikaci, např. SNI hlavičky v HTTPS komunikaci, takže pokud nekomunikujete výhradně přes VPN, před ISP se neschováte.
-
S rozmachem DoH tohle celkově přestane fungovat. Od určité verze Androidu tam Google cpe svoje DNSky (a nebo DoH, nevím). Pár let zpátky jsme měli zábavu, že po každém upgradu se zaměstnanci nemohli dostat na firemní intranet, protože jim to obcházelo firemní DNS a na každém telefonu se to nastavovalo trochu jinak :-)
